Разработка методики классификации объектов защиты в корпоративных информационных системах

Повышение эффективности системы управления информационной безопасностью в корпоративных информационных системах. Разработка структуры процесса классификации объектов защиты и составляющих его процедур; требования к архитектуре программного обеспечения.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 19.05.2013
Размер файла 1,8 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

в качестве специалистов по классификации объектов защиты назначить работников подразделения информационной безопасности;

в качестве администраторов ИС назначить работников подразделения информационных технологий.

Рис. 2.1 Схема подчинения лиц в рамках процесса классификации объектов защиты

2.1.4 Модель взаимодействия подсистемы классификации объектов защиты с подсистемами управления информационной безопасностью

В развитых системах управления ИБ могут быть выделены несколько подсистем, включающих, помимо подсистемы классификации объектов защиты, следующие подсистемы:

управления рисками ИБ;

управления инцидентами ИБ;

управления конфигурациями и изменениями.

Изобразим модель взаимодействия подсистемы классификации объектов защиты с другими подсистемами в рамках системы управления ИБ в виде схемы (Рисунок 2.2).

Рис. 2.2 Модель взаимодействия подсистемы классификации объектов защиты с подсистемами управления ИБ

Таким образом, сведения о критичности объектов защиты в рамках системы управления ИБ могут быть использованы для:

анализа рисков ИБ в рамках подсистему управления рисками ИБ;

оценки критичности инцидентов ИБ в рамках подсистему управления инцидентами ИБ;

определения порядка внесения изменений в КИС и конфигурации оборудования в рамках подсистемы управления конфигурациями и изменениями.

В свою очередь, сведения об изменения в КИС, конфигурациях ИС, инфраструктурных служб и оборудования должны быть использованы в при учету объектов защиты в рамках подсистемы классификации объектов защиты.

2.1.5 Структура процесса классификации объектов защиты

Структуру процесса классификации объектов защиты представим в виде жизненного цикла, включающего следующие этапы:

внедрение процесса - на данном этапе выполняется комплекс мероприятий по инициированию процесса классификации объектов защиты, в том числе разработка ОРД, обучение сотрудников, внедрение средств автоматизации процесса классификации объектов защиты;

функционирование процесса (проведение классификации объектов защиты) - на данном этапе выполняются мероприятия по идентификации, классификации и учету объектов защиты;

анализа эффективности процесса - на данном этапе осуществляется расчет показателей качества реализации процесса, анализ полученных результатов;

модернизация (корректировка) процесса - на данном этапе осуществляется выработка рекомендаций по корректировке процесса классификации объектов защиты и корректировка процесса классификации объектов защиты в соответствии с выработанными рекомендациями.

Жизненный цикл процесса классификации объектов защиты целесообразно изобразить в виде цикла Деминга, известного также как модель PDCA («Plan-Do-Check-Act»).

Общая функциональная модель организации деятельности по классификации объектов защиты показана на рисунке 2.3.

2.2 Внедрение процесса классификации объектов защиты

Внедрение процесса классификации объектов защиты в коммерческих организациях осуществляется путем выполнения следующих основных процедур:

разработка организационно-распорядительной и методологической документации по классификации объектов защиты;

инициирование процесса классификации объектов защиты;

внедрение средств автоматизации процесса классификации объектов защиты;

Рис. 2.3 Общая функциональная схема организации деятельности по классификации объектов защиты

Рис. 2.4 Подробная функциональная схема организации деятельности по классификации объектов защиты

Рис. 2.5 Подробная функциональная схема внедрения процесса классификации объектов защиты

Рис. 2.6 Подробная функциональная схема процедуры обучения работников предприятия

Рис. 2.7 Подробная функциональная схема процедуры формирования порядковой шкалы уровней критичности

Рис. 2.8 Подробная функциональная схема проведения классификации объектов защиты

Рис. 2.9 Подробная функциональная схема процедуры идентификации объектов защиты

Рис. 2.10 Подробная функциональная схема процедуры определения уровня критичности объектов защиты

обучение работников предприятия методологии классификации объектов защиты;

формирование порядковой шкалы уровней критичности объектов защиты.

2.2.1 Разработка организационно-распорядительной документации по классификации объектов защиты

Любая деятельность на предприятии должна быть регламентирована:

должны быть определены лица, ответственные за реализацию деятельности;

должен быть определен порядок выполнения мероприятий в рамках деятельности по классификации объектов защиты;

должен быть закреплен порядок взаимодействия ответственных лиц в рамках деятельности по классификации объектов защиты.

Таким образом, необходимо разработать ОРД, регламентирующую деятельность по классификации объектов защиты в компании.

Целью процедуры разработки ОРД является формирование нормативной базы, регламентирующей реализацию процесса классификации объектов защиты.

В рамках процедуры разработки ОРД по классификации объектов защиты решаются следующие задачи:

разработка внутренних нормативных документов, инициирующих процесс классификации объектов защиты;

разработка внутренних нормативных документов, регламентирующих реализацию деятельности по классификации объектов защиты.

Состав ОРД по классификации объектов защиты формируется каждым предприятием индивидуально с учетом специфики его деятельности и уже существующей ОРД. ОРД по классификации объектов защиты может включать:

шаблон приказа «О классификации объектов защиты;

Регламент классификации объектов защиты;

Положение о Комиссии по классификации объектов защиты.

Шаблон приказа «О классификации объектов защиты» необходим для:

ввода в действия внутренней нормативной документации по классификации объектов защиты;

назначение лиц, ответственных за реализацию деятельности по классификации объектов защиты;

создания Комиссии по классификации объектов защиты.

Регламент классификации объектов защиты необходим для:

определения порядка выполнения процедур в рамках деятельности по классификации объектов защиты;

определения порядка формирования отчетных документов в рамках деятельности по классификации объектов защиты;

определения лиц, ответственных за выполнение работ по классификации объектов защиты.

Положение о Комиссии по классификации объектов защиты необходимо для:

определения целей, задач и функций Комиссии по классификации объектов защиты в рамках деятельности по классификации объектов защиты;

определения состава Комиссии по классификации объектов защиты;

определения порядка работы Комиссии по классификации объектов защиты в рамках деятельности по классификации объектов защиты.

2.2.2 Инициирование процесса классификации объектов защиты

Целью процедуры инициирования процесса классификации объектов защиты является выполнение мероприятий, необходимых для внедрения процесса классификации объектов защиты и обеспечения его эффективного функционирования.

В рамках процедуры инициирования процесса классификации объектов защиты решаются следующие задачи:

ввод в действие нормативных документов, регламентирующих Процесс классификации объектов защиты компании;

назначение лиц, ответственных за внедрение, реализацию, анализ эффективности и корректировку процесса классификации объектов защиты;

создание Комиссии по классификации объектов защиты.

Для инициирования процесса классификации объектов защиты руководство организации издается Приказ «О проведении классификации объектов защиты», в соответствии с которым осуществляется:

ввод в действие ОРД, регламентирующей реализацию процесса классификации объектов защиты;

формирование Комиссии по классификации объектов защиты, утверждение ее состава и назначение Председателя Комиссии по классификации объектов защиты;

устанавливаются порядок и сроки выполнения процедур в рамках внедрения процесса классификации объектов защиты, в том числе внедрения средств автоматизации процесса классификации объектов защиты, проведения обучения работников предприятия и других процедур.

2.2.3 Внедрение средств автоматизации процесса классификации объектов защиты

Для успешной реализации процесса классификации объектов защиты необходимо внедрение средств автоматизации (ПО подсистемы классификации объектов защиты), упрощающих выполнение различных процедур в рамках деятельности по классификации объектов защиты.

В рамках процедуры внедрения средств автоматизации процесса классификации объектов защиты решаются следующие задачи:

ввод в эксплуатацию средств автоматизации процесса классификации объектов защиты;

первичная настройка и подготовка к работе средств автоматизации процесса классификации объектов защиты.

Процедура внедрения средств автоматизации процесса классификации объектов защиты осуществляется в следующем порядке:

1) осуществляется ввод в эксплуатацию технических и программных средств, входящих в комплекс средств автоматизации процесса классификации объектов защиты; ввод в эксплуатацию осуществляется в порядке, предусмотренным действующими стандартами Российской Федерации;

2) осуществляется создание электронной базы данных объектов защиты; ввод первичных сведений, относящихся к организационной структуре предприятия и сформированного набора классификационных признаков и категорий объектов защиты;

3) осуществляется наделение лиц, ответственных за эксплуатацию средств автоматизации правами, необходимыми и достаточными для реализации своих функций правами.

Блок-схема порядка внедрения средств автоматизации процесса классификации объектов защиты показана на рисунке (Рисунок 2.11).

Рис. 2.11 Блок-схема порядка внедрения средств автоматизации процесса классификации объектов защиты

2.2.4 Обучение работников предприятия методологии классификации объектов защиты

Любой процесс, внедряемый на предприятии, является комплексом организационных мер, предписывающих проведение работниками предприятия определенной деятельности.

Целью процедуры обучения работников предприятия методологии классификации объектов защиты является обеспечение эффективного выполнения работниками предприятия их функций в рамках деятельности по классификации объектов защиты.

В рамках процедуры обучения работников предприятия методологии классификации объектов защиты решаются следующие задачи:

доведение до сотрудников компании из роли, задач и обязанностей в рамках процесса классификации объектов защиты;

проведение аттестации сотрудников компании.

Разработка методики обучения не является предметом данной работы, так как процесс обучения сотрудников непосредственно не связан с проведением классификации объектов защиты и требует более детальной проработки.

Реализация процедуры обучения сотрудников компании методологии классификации объектов защиты должна выполняться под руководством и контролем руководителя процесса классификации объектов защиты и при участии специалистов по классификации объектов защиты. При этом допускается, что в рамках процедуры обучения сотрудников компании могут быть выделены отдельные роли, функциональные обязанности которых могут выполняться различным должностными лицами. Состав ролей, определение порядка обучения сотрудников компании методологии классификации объектов защиты целесообразно проводить с учетом специфики бизнеса компании, ее масштабов, а также территориальной и организационной структуры.

Выделим основные этапы в рамках процедуры обучения сотрудников компании методологии классификации объектов защиты.

Этап 1: разработка методических материалов и программы обучения и аттестации сотрудников компании. В рамках данного этапа на основе методики классификации объектов защиты формируется комплект методических материалов, предназначенных для различных групп сотрудников компании в соответствии с их функциональной ролью в рамках процесса классификации объектов защиты. Разрабатывается и утверждается программа обучения и аттестации сотрудников.

Этап 2: разработка плана обучения и аттестации сотрудников компании. На данном этапе определяются и утверждаются сроки проведения обучения и аттестации сотрудников компании, а также перечень ответственных лиц.

Этап 3: проведение обучения и аттестации сотрудников компании. По результатам аттестации формируется отчет руководству компании о результатах аттестации сотрудников компании методологии классификации объектов защиты.

2.2.5 Формирование порядковой шкалы уровней критичности объектов защиты

Прежде, чем проводить работы по классификации объектов защиты, на предприятии должна быть разработана и утверждена шкала, по которой будет определяться уровень критичности для того или иного объекта в соответствии с возможным ущербом от нарушения его ИБ.

Целью процедуры формирования порядковой шкалы уровней критичности объектов защиты является установление соответствия уровней критичности объектов защиты качественным величинам возможного ущерба от нарушения ИБ объектов защиты.

В рамках процедуры формирования порядковой шкалы уровней критичности решаются следующие задачи:

определение видов ущерба, наступление которого критично для организации;

установление градации ущерба для каждого уровня критичности.

Формирование порядковой шкалы уровней критичности является ключевым методологическим аспектом внедрения процесса классификации объектов защиты. От правильного выбора пороговых значений ущерба для каждого уровня критичности зависит эффективность всей деятельности по классификации объектов защиты.

Процедура формирования порядковой шкалы уровней критичности реализуется следующим образом.

Весь ущерб, который может быть нанесен компании вследствие нарушения ИБ объектов защиты, подразделяется на виды, например:

нарушение требований законодательства;

прямой финансовый и материальный ущерб;

косвенный финансовый ущерб (неполученная прибыль);

репутационные потери;

кадровые потери;

ущерб интеллектуальной собственности.

Выделим основные этапы в рамках процедуры формирования порядковой шкалы уровней критичности.

Этап 1: определение пороговых значений ущерба от нарушения ИБ объектов защиты. Для каждого из видов ущерба определяются пороговые значения, соответствующие максимальному, среднему и минимальному уровню критичности, при этом выбор пороговых значений осуществляется в соответствии со следующими принципами:

максимальному уровню критичности должен соответствовать такой ущерб, наступление которого несет катастрофические последствия для организации, делает невозможным реализацию всех ее ключевых бизнес-процессов, парализует деятельность компании на длительный срок или приводит к прекращению ее существования;

среднему уровню критичности соответствует ущерб, наступление которого приводит к тяжелым, но не катастрофическим последствиям, то есть к таким последствиям, которые значительны для организации, но не приводят к парализации или прекращению ее деятельности;

минимальному уровню критичности соответствует ущерб, наступление которого незначительно для организации или к таким последствиям, которые могут быть ликвидированы имеющими ресурсами без нарушения функционирования ключевых бизнес-процессов компании.

Определение пороговых значений ущерба от нарушения ИБ объектов защиты осуществляется членами Комиссии. Пороговые значения ущерба определяются методом экспертных оценок, когда соответствие возможного ущерба различным уровням критичности устанавливается несколькими сотрудниками, входящими в состав Комиссии, в соответствии со своей компетенцией. Перечень сотрудников, ответственных за определение пороговых значений ущерба для различных уровней критичности, устанавливается Председателем Комиссии совместно с руководителем процесса классификации объектов защиты. Так, например, пороговые значения ущерба вследствие нарушения требований законодательства могут быть определены руководителями ключевых бизнес-подразделений совместно с юристами.

Определение перечня лиц, ответственных за формирование пороговых значений по каждому из видов ущерба осуществляется председателем Комиссии единолично. Для определения пороговых значений ущерба организуется совещание Комиссии. В случае принципиального расхождения позиций экспертов при определении пороговых значений ущерба, решение принимается Председателем Комиссии.

Этап 2: формирование и утверждение порядковой шкалы уровней критичности. Порядковая шкала формируется секретарем Комиссии и утверждается ее Председателем. Пример порядковой шкалы уровней критичности приведен в Таблице 2.2

1) Таблица 2.2

Пример порядковой шкалы уровней критичности

Уровень критичности

Нарушение требований законодательства

Прямой финансовый ущерб

Косвенный финансовый ущерб

Репутационные потери

Кадровые потери

Ущерб интеллектуальной собственности

Максимальный

Отзыв ключевых лицензий, многомиллионные судебные взыскания, блокирование банковских счетов.

Прямой финансовый ущерб свыше 5 млн. руб.

Срыв ключевых контрактов, неполученная прибыль свыше 5 млн. руб. в год

Невосстановимые репутационные потери перед партнерами, клиентами. Широкий резонанс в обществе.

Массовые увольнения работников компании

Утрата ключевых объектов интеллектуальной собственности.

Средний

Крупные судебные взыскания, частичный отзыв лицензий.

Прямой финансовый ущерб от 500 тыс. руб. до 5 млн. руб.

Срыв крупных контрактов, неполученная прибыль от 500 тыс. руб. до 5 млн. руб. в год

Серьезные репутационные потери, негативные отзывы в СМИ.

Увольнение ключевых работников компании.

Разглашение сведений об объектах интеллектуальной собственности компании.

Минимальный

Незначительные судебные взыскания или отсутствие нарушений требований законодательства.

Прямой финансовый ущерб до 500 тыс. руб.

Срыв незначительных контрактов или отсутствие косвенного финансового ущерба.

Незначительные репутационные потери или отсутсвие влияния на репутацию компании.

Увольнение рядовых сотрудников компании, незначительная кадровая напряженности.

Отсутствие ущерба интеллектуальной собственности компании.

Таким образом, процедура формирования порядковой шкалы уровней критичности состоит из следующих шагов:

1) Председатель Комиссии определяет перечень членов Комиссии (далее - экспертов), ответственных за определение пороговых значений ущерба от нарушения ИБ объектов защиты для каждого из видов ущерба;

2) эксперты определяют пороговые значения ущерба для максимального, среднего и минимального уровня критичности по каждому из видов ущерба;

3) секретарь Комиссии аккумулирует результаты определения пороговых значений ущерба, фиксируя те виды ущерба, по которым у экспертов возникли принципиальные расхождения;

4) секретарь Комиссии формирует проект документа «Порядковая шкала уровней критичности» и представляет его Председателю Комиссии;

5) Председатель Комиссии принимает решение по спорным вопросам, связанным с определением пороговых значений уровня критичности;

6) Председатель Комиссии корректирует пороговые значения ущерба по различным уровням критичности;

7) секретарь Комиссии вносит правки в проект документа «Порядковая шакала уровней критичности» в соответствии с корректировками Председателя Комиссии, после чего передает ему финальную версию документа на согласование;

8) руководитель компании утверждает проект документа «Порядковая шкала уровней критичности», после чего процедура является выполненной.

Блок-схема порядка формирования порядковой шкалы уровней критичности показана на рисунке (Рисунок 2.12).

2.3 Функционирование процесса классификации объектов защиты

Реализация процесса классификации объектов защиты предполагает выполнение мероприятий, направленных на идентификацию всех объектов защиты компании и определение их критичности.

Рис. 2.12 Блок-схема порядка формирования порядковой шкалы уровней критичности

В рамках реализации процесса классификации объектов защиты выделяются следующие процедуры:

планирование деятельности по классификации объектов защиты;

идентификация объектов защиты;

определение уровня критичности объектов защиты;

организация учета объектов защиты.

2.3.1 Планирование деятельности по классификации объектов защиты

Целью классификации объектов защиты идентификация объектов защиты и определение уровня их критичности для последующего определение требований ИБ, предъявляемых к ИС компании, оценки рисков ИБ и выполнения других мероприятий, направленных на реструктуризацию системы информационной безопасности компании в соответствии с уровнем критичности ее объектов защиты.

Очевидно, что с течением времени уровень критичности объектов защиты изменяется. Это может быть связано с:

устареванием информационных активов и снижением их ценности для организации;

изменением приоритетов бизнеса компании;

внесением изменений в порядок реализации бизнес-процессов компании;

другими подобными изменениями, связанными с неминуемым развитием бизнес-модели любой компании.

Таким образом, принципиально важно заключить деятельность по классификации объектов защиты в определенные временные рамки, даже несмотря на то, что данная деятельность априори является непрерывной. В связи с этим, на этапе реализации процесса классификации объектов защиты, предшествующем анализу его эффективности, должны быть идентифицированы и проклассифицированы все объекты защиты компании. Добиться этого возможно лишь за счет эффективного планирования деятельности по классификации объектов защиты.

Целью процедуры планирования классификации объектов защиты является определение порядка и сроков выполнения работ по классификации объектов защиты в компании, а также определение перечня лиц, ответственных за выполнение указанных работ и формирование отчетных документов.

В рамках процедуры планирования классификации объектов защиты формируется План классификации объектов защиты, который включает:

область классификации объектов защиты;

этапы и сроки классификации объектов защиты;

сроки идентификации объектов защиты в подразделениях Общества;

перечень отчетных документов, формируемых по результатам классификации объектов защиты, и сроки их предоставления.

Понятие «область классификации объектов защиты» является собирательным, и включает в себя:

бизнес-процессы компании как структурированную согласованную деятельность ее подразделений;

бизнес-подразделения компании, реализующие ее бизнес-процессы (например, отдел закупок);

подразделения компании, выполняющие вспомогательные функции по поддержке их функционирования (например, бухгалтерия, юридический отдел, отдел информационных технологий);

ИС компании, автоматизирующие деятельность бизнес-подразделений компании и подразделений, выполняющих вспомогательные функции по поддержке их функционирования.

В случае, если вся деятельность организации формализована в виде бизнес-процессов, определены подразделения, участвующие в реализации бизнес-процессов, а также ИС, участвующие в их реализации, область классификации объектов защиты задается как совокупность таких бизнес-процессов, а также подразделений и ИС, участвующих и поддерживающих их реализацию.

В случае, если в компании бизнес-процессы в полной мере не формализованы, но существует актуальный перечень ИС с формализованными описаниями решаемых ими задач, область классификации объектов защиты задается как совокупность таких ИС, а также подразделений компании, непосредственно пользующихся данными ИС.

В других случаях, область классификации объектов защиты задается как перечень ее подразделений, а также ключевых объектов информатизации, реализующих бизнес-деятельность компании.

После определения области классификации объектов защиты, необходимо определить и документально зафиксировать перечень составляющих ее подразделений. Перечень подразделений, составляющих область классификации объектов защиты, определяется на основании:

формализованных описаний бизнес-процессов компании;

формализованных описаний ИС компании.

Сформированный перечень подразделений, составляющих область классификации объектов защиты, является основой для определения сроков идентификации информационных активов в подразделениях компании. Идентификация информационных активов и выявление связей между ними является первым этапом деятельности по классификации объектов защиты. Сроки идентификации объектов защиты определяются исходя из:

количества сотрудников подразделения (для опроса большего числа людей требуется большее время);

специфики деятельности подразделений (например, целесообразно не проводить работы по идентификации информационных активов в бухгалтерии в конце отчетного периода);

Сроки идентификации объектов защиты в подразделениях компании согласуются с их руководителями, а те, в свою очередь, доводят сведения о запланированных работах в рамках деятельности по классификации объектов защиты до сотрудников своих подразделений. Руководители подразделений определяют порядок опроса работников своих подразделений специалистами по классификации объектов защиты.

Вторым этапом деятельности по классификации объектов защиты является идентификация объектов защиты в составе ИС компании и выявлением связей между ними. На этапе планирования определяются сроки идентификации объектов защиты, а также перечень лиц, ответственных за реализацию данного этапа и формирование отчетных документов.

По результатам идентификации всех объектов защиты и связей между ними, осуществляется оценка уровней критичности информационных активов в рамках третьего этапа деятельности по классификации объектов защиты. На этапе планирования определяются сроки, отведенные на осуществление оценки.

Четвертым и заключительным этапом классификации объектов защиты является расчет уровня критичности объектов защиты и организация их учета. В рамках планирования деятельности по классификации объектов защиты определяется перечень лиц, ответственных за реализацию данной деятельности, и сроки ее реализации.

Таким образом, процедура планирования деятельности по классификации объектов защиты состоит из следующих шагов:

1) на основании Приказа о классификации объектов защиты используя имеющиеся в компании формализованные описания бизнес-процессов и ИС, руководитель процесса классификации объектов зашиты определяет область классификации объектов защиты, а также порядок и сроки выполнения работ по классификации объектов защиты;

2) в соответствии с областью классификации объектов защиты, руководитель процесса классификации объектов защиты определяет перечень подразделений, входящих в область классификации объектов защиты;

3) руководитель процесса классификации объектов защиты определяет сроки проведения работ по классификации объектов защиты и согласует их с Председателем Комиссии;

4) руководитель процесса классификации объектов защиты определяет сроки идентификации объектов защиты в подразделениях компании, согласует их с руководителями подразделений, а в случае, если это невозможно или затруднительно, устанавливает сроки идентификации информационных активов лично;

5) руководитель процесса классификации объектов защиты определяет перечень формируемых в рамках деятельности по классификации объектов защиты отчетных документов;

6) руководитель процесса классификации объектов защиты определяет перечень лиц, ответственных за выполнение работ по идентификации и классификации объектов защиты (специалистов по классификации объектов защиты);

7) руководитель процесса классификации объектов защиты формирует проект документа «План классификации объектов защиты»;

8) руководитель компании утверждает проект документа «План классификации объектов защиты».

Блок-схема порядка планирования деятельности по классификации объектов защиты (Рисунок 2.13).

Рис. 2.13 Блок-схема порядка планирования деятельности по классификации объектов защиты

2.3.2 Идентификация объектов защиты

В рамках процедуры идентификации объектов защиты компании решаются следующие задачи:

идентификация информационных активов, необходимых и достаточных для выполнения бизнес-подразделениями компании своих бизнес-функций, а также (в случае, если в компании бизнес-процессы не формализованы), идентификация таких бизнес-функций и определение бизнес-процессов, в рамках которых они выполняется;

идентификация взаимосвязей между информационными активами;

идентификация и сбор сведений об ИС компании, используемых для автоматизации выполнения бизнес-функций;

идентификация ПО и оборудования, используемых для хранения, обработки и передачи информационных активов.

Идентификация объектов защиты осуществляется в порядке и в сроки, предусмотренные Планом классификации объектов защиты.

Выделим основные этапы в рамках процедуры идентификации объектов защиты.

Этап 1: опрос сотрудников подразделений. На данном этапе проводится интервьюирование сотрудников бизнес-подразделений компании с использованием опросных листов с целью выявления информационных активов, используемых или формируемых сотрудниками в процессе выполнения своих бизнес функций.

От результатов опроса сотрудников подразделений компании зависит результат классификации объектов защиты в целом, так как принципиально важно на этапе опроса выявить все информационные активы компании. Для того, чтобы сократить возможные ошибки и неточности предоставляемых сотрудниками подразделений сведений, перед проведением опроса для формируются документы:

Перечень ИС подразделения;

Перечень бизнес-функций подразделения.

При формирования перечней ИС подразделений, сведения об ИС запрашиваются от администраторов ИС. Администраторы ИС предоставляются сведения о том, к каким ИС имеют доступ сотрудники того или иного подразделения.

При формировании перечней бизнес-функций подразделения используются формализованные описания бизнес-процессов компании, если таковые в компании были разработаны.

При опросе сотрудников бизнес-подразделения выявляются:

бизнес-функции сотрудников (в случае, если бизнес-процессы компании не формализованы);

коммуникационное и периферийное оборудование, необходимое для выполнения бизнес-функции;

информационные активы в составе ИС компании, поступающие на вход, и формируемые на выходе бизнес-функций (взаимосвязь между информационными активами, а также между информационными активами и ИС, в состав которых они входят);

необходимость использования сервиса электронной почты для получения информационных активов;

дополнительное ПО, не входящее в состав ИС, используемое для обработки информационных активов.

При опросе сотрудников бизнес-подразделений используются опросные листы, шаблон которых показан в Таблице 2.3.

Таблица 2.3

Шаблон опросного листа для идентификации объектов защиты

Ф.И.О.

Должность

Структурное подразделение

Укажите наименование бизнес-функции (в соответствии с решаемой производственной задачей)

(Бизнес-функцией называется действие или совокупность действий, направлены на создание или модификацию определенных информационных активов. Например: подготовка данных для формирования Отчета о прибылях и убытках)

(в соответствии с Перечнем бизнес-функций или решаемой производственной задачей)

Укажите наименование бизнес-процесса

(данное поле остается пустым в случае, если бизнес-функция определена в соответствии с решаемой производственной задачей)

Используются ли для выполнения бизнес-функции факсы, телефонные аппараты или оборудование для проведения видеоконференций?

? Да

? Нет

Какое?

Наименование (производитель, модель)

Серийный номер

1.

2.

3.

Используются ли для выполнения бизнес-функции принтеры, сканеры и другое периферийное оборудование?

? Да

? Нет

Какое?

Наименование (производитель, модель)

Сетевое имя

1.

2.

3.

Перечислите информационные активы (ИА), поступающие на вход бизнес-функции (отчеты, справочники, формы и др.)

(Информационными активами являются: документы, предоставленные в автоматизированных системах в виде рабочих форм прикладного программного обеспечения, файлы и папки с файлами на файловых серверах и автоматизированных рабочих местах, а также печатные документы)

Наименование информационного актива

(название рабочей формы или наименование документа)

Тип ИА

Степень конфиденциаль-ности

Укажите наименование АС

и размещение ИА для ИА, являющихся файловыми ресурсами

Используется ли для получения ИА электронная почта?

? рабочая форма

? файл/директория

? печатный документ

? отсутствует

? персональные данные

? коммерческая тайна

? Да

? Нет

? рабочая форма

? файл / директория

? печатный документ

? отсутствует

? персональные данные

? коммерческая тайна

? Да

? Нет

? рабочая форма

? файл / директория

? печатный документ

? отсутствует

? персональные данные

? коммерческая тайна

? рабочая форма

? файл / директория

? печатный документ

? отсутствует

? персональные данные

? коммерческая тайна

? Да

? Нет

Перечислите информационные активы, формируемые на выходе бизнес-функции (отчеты, печатные документы и др.)

Наименование ИА (название рабочей формы или наименование документа)

Тип ИА

Степень конфиденциальности

Укажите наименование ИС

и размещение ИА для ИА, являющихся файловыми ресурсами

Укажите дополнительное ПО (наименование, версия), используемое для обработки и передачи ИА

(например, MS Word, MS Outlook)

? рабочая форма

? файл / директория

? печатный документ

? отсутствует

? персональные данные

? коммерческая тайна

? рабочая форма

? файл / директория

? печатный документ

? отсутствует

? персональные данные

? коммерческая тайна

? рабочая форма

? файл/директория

? печатный документ

? отсутствует

? персональные данные

? коммерческая тайна

? рабочая форма

? файл/директория

? печатный документ

? отсутствует

? персональные данные

? коммерческая тайна

Заполненные опросные листы используются при формировании Перечней объектов защиты подразделений, формируемыми для каждого бизнес-подразделения компании и утверждаемыми их руководителями.

Этап 2: выявление объектов защиты в составе ИС. На данном этапе администраторами ИС на основе перечней объектов защиты выявляются объекты защиты в составе ИС компании:

определяются БД, сведения из которых используются при формировании рабочих форм ПО;

определяется перечень прикладного ПО и оборудования, входящего в состав ИС;

определяется перечень инфраструктурных служб, поддерживающих функционирование ИС компании;

определяется перечень системного ПО и оборудования, входящего в состав инфраструктурных служб.

Таким образом, на данном этапе выявляются все объекты защиты компании, а также устанавливается взаимосвязь между ИС и инфраструктурными службами, поддерживающими их функционирование.

По результатам выявления объектов защиты в составе ИС компании формируется Перечень объектов защиты.

Таким образом, процедура идентификации объектов защиты состоит из следующих шагов:

1) на основании формализованных описаний бизнес-процессов в соответствии с областью классификации объектов защиты специалисты по классификации объектов защиты формируют Перечень бизнес-функций, выполняемых работниками каждого из бизнес-подразделений компании, входящих в область классификации объектов защиты;

2) специалисты по классификации объектов защиты запрашивают от администраторов ИС перечень ИС, используемых каждым из бизнес-подразделений компании;

3) специалисты по классификации объектов защиты проводят опрос работников бизнес-подразделения компании в порядке и сроки, предусмотренные Планом классификации объектов защиты;

4) по завершении опроса работников каждого из бизнес-подразделений компании специалисты по классификации объектов защиты на основании заполненных опросных листов формируют Перечень объектов защиты подразделения; при необходимости, специалисты по классификации объектов защиты по электронной почте или по телефону запрашивают от работников структурного подразделения дополнительные сведения об объектах защиты;

5) по завершению опроса работников каждого из бизнес-подразделений специалисты по классификации объектов защиты согласовывают Перечень объектов защиты подразделения с руководителем подразделения, при этом руководитель подразделения уточняет сведения об объектах защиты и выполняемых работниками бизнес-функций;

6) специалисты по классификации объектов защиты по результатам идентификации объектов защиты в подразделениях компании запрашивают от администраторов ИС сведения об ИС и поддерживающих их инфраструктурных службах;

7) специалисты по классификации объектов защиты формируют Перечень объектов защиты компании, а также заносят сведения об идентифицированных объектах защиты в электронную базу данных объектов защиты;

8) перечень объектов защиты утверждается руководителем процесса классификации объектов защиты.

Блок-схема порядка идентификации объектов защиты (Рисунок 2.14).

Рис. 2.14 Блок-схема порядка идентификации объектов защиты

2.3.3 Определение уровня критичности объектов защиты

Целью процедуры определения уровня критичности объектов защиты компании является оценка важности обеспечения их ИБ для бизнеса.

В рамках процедуры определения уровня критичности объектов защиты компании решаются следующие задачи:

оценка ущерба от нарушения требований конфиденциальности, целостности и доступности информационных активов компании;

расчет и определение уровня критичности объектов защиты компании с учетом взаимосвязей между ними.

Выделим основные этапы в рамках процедуры определения уровня критичности объектов защиты.

Этап 1: оценка ущерба от нарушения ИБ информационных активов. На данном этапе Комиссия по классификации объектов защиты проводит оценку возможного ущерба от нарушения основных свойств ИБ информационных активов: конфиденциальности, целостности и доступности. При этом в компании могут быть выделены дополнительные свойства ИБ (например, свойство неотказуемости), нарушение которых существенно для компании. По каждому из свойств ИБ оценка ущерба осуществляется отдельно.

Дать объективную оценку возможного ущерба от нарушения ИБ информационных активов в целом сложно, поэтому оценка возможного ущерба от нарушения свойств ИБ информационных активов осуществляется по каждому из видов ущерба отдельно.

Оценка возможного ущерба от нарушения ИБ информационных активов осуществляется методом экспертных оценок. Всем членам комиссии предоставляется комплект опросных листов и копия перечня объектов защиты, при этом опросном листе перечислены все объекты защиты компании в том же порядке, в котором они расположены в Перечне объектов защиты. Каждый член комиссии осуществляет оценку возможного ущерба от нарушения ИБ объектов защиты по каждому из видов ущерба руководствуясь сведениями, содержащимися в Перечне объектов защиты. Оценка возможного ущерба дается в виде цифры, означающий ту или иную степени критичности, в соответствии с Порядковой шкалой уровней критичности (1-максимальная степень критичности, 2 - средняя, 3 - минимальная). В случае, если участник Комиссии затрудняется дать оценку возможного ущерба от нарушения ИБ объектов защиты, в соответствующем поле он ставит прочерк.

Фрагмент заполненного опросного листа, формируемого каждым членом Комиссии, показан в таблице 2.4.

Таблица 2.4

Фрагмент заполненного опросного листа для оценки возможного ущерба от нарушения ИБ информационных активов

Информационный актив

Свойство ИБ

Оценка степени критичности по видам ущерба

Нарушение требований законодательства

Прямой финансовый ущерб

БД «1С: Бухгалтерия»

Конфиденциальность

3

2

Целостность

3

3

Доступность

3

3

Ключевая информация для доступа в банк-клиент

Конфиденциальность

3

1

Целостность

3

3

Доступность

3

-

По результатам оценки возможного ущерба от нарушения уровня критичности объектов защиты, специалисты по классификации объектов защиты формируют проект документа «Результаты оценки ущерба от нарушения ИБ информационных активов», в котором отражаются итоговые оценки возможного ущерба. При этом в случае расхождения оценок на один порядок, итоговая степень ущерба берется максимальной. Если же разница в оценках составляет 2 порядка, итоговую оценку степени возможного ущерба от нарушения данного свойства ИБ осуществляется Председатель Комиссии.

Этап 2: определение уровня критичности объектов защиты. На данном этапе на основании проведенной оценки возможного ущерба от нарушения ИБ информационных активов осуществляется расчет следующих величин.

Уровень критичности информационных активов (промежуточный) рассчитывается как максимальный из степеней критичности данного информационного актива по всем видам ущерба. В таблице 2.5показан фрагмент перечня информационных активов с результатами оценки возможного ущерба от нарушения их ИБ. В последнем столбце таблицы указан уровень критичности информационного актива.

Таблица 2.5

Определение уровня критичности информационных активов

Информационный актив

Свойство ИБ

Оценка степени критичности по видам ущерба

Уровень критичности

Нарушение требований законодательства

Прямой финансовый ущерб

БД «1С: Бухгалтерия»

Конф.

3

2

2

Цел.

3

3

Дост.

3

3

Ключевая информация для доступа в банк-клиент

Конф.

3

1

1

Цел.

3

3

Дост.

3

2

Отметим, что на данном шаге определяется промежуточный уровень критичности информационных активов, который будет пересмотрен в дальнейшем с учетом уровня критичности бизнес-функций.

Уровень критичности бизнес-функций устанавливается как максимальный из уровней критичности информационных активов, формируемых на выходе бизнес-функции. В таблице 2.6 показан пример расчета уровня критичности бизнес функций:

Таблица 2.6

Определение уровня критичности бизнес-функций

Наименование бизнес-функции

Информационные активы, формируемые на выходе

Уровень критичности бизнес-функции

Наименование

Уровень критичности

Формирование отчета о прибылях и убытках

Документ «Отчет о прибылях и убытках»

3

3

Рабочая форма «Отчет о прибылях и убытках»

3

Начисление заработной платы

Зарплатная ведомость

2

2

Платежные поручения на перечисление заработной платы

3

Уровень критичности информационных активов (итоговый) получается из промежуточного уровня критичности с учетом взаимосвязей между информационными активами. В данном случае, взаимосвязь между информационными активами определяется их использованием при выполнении бизнес-функций: если при выполнении определенной бизнес-функции на ее вход поступают информационные активы, уровень критичности которых ниже уровня критичности бизнес-функции, то уровень критичности информационных активов, поступающих на вход бизнес-функции должен быть повышен до уровня критичности самой бизнес-функции.

Действительно, если, например, выходом бизнес-функции является отчет максимального уровня критичности, а для его формирования требуются сведения из базы данных среднего уровня критичности, то уровень критичности базы данных должен быть увеличен до максимального, иначе в случае нарушения доступности бизнес-функция не сможет быть выполнена.

Уровень критичности коммуникационного и периферийного оборудования определяется как максимальный из уровней критичности бизнес-функций, при выполнении которых используется данное оборудование. Пример расчета уровня критичности коммуникационного и периферийного оборудования приведен в таблице 2.7.

Таблица 2.7

Определение уровня критичности коммуникационного и периферийного оборудования

Наименование оборудования

Бизнес-функции, при выполнении которых используется оборудование

Уровень критичности оборудования

Наименование

Уровень критичности

Принтер Cano№LBP-810 (COMP\405)

Формирование отчета о прибылях и убытках

3

2

Начисление заработной платы

2

Факс Panasonic KX-FP207RU

Примем и регистрация входящей корреспонденции

3

3

Предоставление клиентам прайс-листа

3

Уровень критичности ИС определяется как максимальный из уровней критичности бизнес-функций, выполняемых с применением данных ИС компании. Пример расчета уровня критичности ИС приведен в таблице 2.8.

Таблица 2.8

Определение уровня критичности ИС.

Наименование ИС

Бизнес-функции, при выполнении которых используется ИС

Уровень критичности оборудования

Наименование

Уровень критичности

«1С: Бухгалтерия»

Формирование отчета о прибылях и убытках

3

1

Регистрация бухгалтерских операций

1

Начисление заработной платы

2

TeamLab

Управление задачами сотрудников ИТ-отдела

3

3

Уровень критичности инфраструктурных служб определяется как максимальный из уровней критичности ИС, функционирование которых поддерживается данными инфраструктурными службами. Пример расчета уровня критичности инфраструктурных служб приведен в таблице 2.9.

Таблица 2.9

Определение уровня критичности инфраструктурных служб.

Наименование инфраструктурной службы

ИС, функционирование которых поддерживается инфраструктурными службами

Уровень критичности инфраструктурной службы

Наименование

Уровень критичности

Сервис локальной вычислительной сети

«1С: Бухгалтерия»

2

1

SAP R/3

1

Сервис сетевой печати

«1С: Бухгалтерия»

2

1

TeamLab

3

SAP R/3

1

Уровень критичности ПО и оборудования определяется аналогично как максимальный из уровней критичности ИС и инфраструктурных служб, в состав которых они входят.

Отметим, что при расчете уровня критичности всех объектов защиты учитываются все взаимосвязи между ними; полученный уровень критичности объектов защиты адекватно отражает степень его значимости для бизнеса компании и должен быть использован в качестве основного показателя при предъявлении требований к обеспечению ИБ объектов защиты.

Таким образом, процедура определения уровня критичности объектов защиты состоит из следующих шагов:

1) специалистами по классификации объектов защиты на основании Перечня объектов защиты и Порядковой шкалы уровней критичности подготавливаются опросные листы для членов Комиссии для оценки возможного ущерба от нарушения ИБ информационных активов;

2) члены Комиссии осуществляют оценку возможного ущерба от нарушения ИБ информационных активов;

3) специалисты по классификации объектов защиты анализируют полученные оценки, рассчитывают итоговые оценки и предоставляют их Председателю Комиссии на согласование;

4) Председатель Комиссии определяет итоговые оценки по тем информационным активам, где оценки экспертов различались на 2 порядка и утверждает Результаты оценки ущерба от нарушения ИБ информационных активов;

5) специалисты по классификации объектов защиты рассчитывают уровень критичности:

информационных активов; бизнес-функций;

коммуникационного и периферийного оборудования;

ИС и инфраструктурных служб;

ПО и оборудования в составе ИС и инфраструктурных служб.

6) специалисты по классификации объектов защиты формируют итоговый перечень объектов защиты компании с группировкой объектов защиты по ИС или инфраструктурным службам, при этом одни и те же информационные активы, ПО и оборудование могут входить в состав нескольких ИС и инфраструктурных служб;

7) специалисты по классификации объектов защиты формируют проект Акта классификации объектов защиты;

8) руководитель компании утверждает Акт классификации объектов защиты; Специалисты по классификации объектов защиты вносят сведения об уровне критичности объектов защиты в электронную базу данных объектов защиты.

Блок-схема порядка идентификации объектов защиты (Рисунок 2.15).

Рис. 2.15 Блок-схема порядка определения уровня критичности объектов защиты

2.3.4 Организация учета объектов защиты

Бизнес любой компании постоянно развивается, вследствие чего должен быть организован учет объектов защиты компании.

Для регистрации событий, связанных с объектами защиты для каждой ИС и инфраструктурной службы компании создаются Журналы учета объектов защиты. Все журналы ведутся в электронном виде, а для ИС и инфраструктурных служб максимального уровня критичности Журналы учета ведутся также в печатном виде. Все Журналы учета объектов защиты ведутся администраторами ИС.

В процессе деятельности компании в Журналах учета объектов защиты регистрируются все критичные действия нал объектами защиты, в том числе:

факты создания, передачи, дублирования и уничтожения информационных активов в составе ИС (баз данных ИС);

факты приобретения, ввода в эксплуатацию и снятия с эксплуатации ПО и оборудования в составе ИС и инфраструктурных служб компании.

Сведения о событиях, связанных с объектами защиты, предоставляются руководителями подразделений компании, инициирующих соответствующие события. Действия над объектами критичности максимального уровня критичности, при этом, должны быть одобрены руководителем компании.

В случае существенного изменения перечня объектов защиты в составе ИС и инфраструктурных служб, администраторы ИС формируют и передают в Комиссию заявку на пересмотр результатов классификации объектов защиты в составе данных ИС и инфраструктурных служб.

2.4 Анализ эффективности и модернизация процесса классификации объектов защиты

В компании периодически не реже одного раза в год, а также в случае необходимости (например, по результатам классификации объектов защиты) должна проводиться оценка эффективности функционирования процесса классификации объектов защиты.

Анализ эффективности процесса классификации объектов защиты осуществляется руководителем процесса классификации объектов защиты при участии специалистов по классификации объектов защиты.

Для оценки эффективности функционирования процесса классификации объектов защиты компании рассчитываются следующие показатели:

количество проклассифицированных объектов защиты за определенный период времени;

процентное распределение объектов защиты по уровням критичности;

число информационных активов, при оценке возможного ущерба от нарушения ИБ которых разница в оценке различных экспертов составила 2 порядка;

количество подразделений компании, в которых завершены работы по идентификации объектов защиты;

доля бизнес-процессов, объекты защиты которых не были проклассифицированы, от общего числа бизнес-процессов, объекты защиты которых должны были быть проклассифицированы в соответствии с Планом классификации объектов защиты за определенный период времени;

доля подразделений компании, объекты защиты которых не были проклассифицированы, от общего числа подразделений компании, объекты защиты которых должны были быть проклассифицированы в соответствии с Планом классификации объектов защиты за определенный период времени;

количество неучтенных объектов защиты, выявленных по результатам аудита.

Конкретные значения показателей, описанных выше, при которых результаты функционирования процесса классификации объектов защиты можно считать успешными, определяются для каждой компании индивидуально. Выделим общие правила, позволяющие оценить эффективность функционирования процесса классификации объектов защиты:


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.